La conformité au RGPD n’est pas un état, mais un processus
L’objectif d’un projet de mise en conformité au RGPD est d’atteindre un niveau de protection suffisant et adéquat compte tenu des risques. Et ce, afin de pouvoir démontrer à tout moment, notamment en cas d’incidents de sécurité, de plainte ou de contrôle, que toutes les mesures nécessaires ont été mises en œuvre pour parer à ces risques.
Il est toujours possible de sécuriser davantage ses traitements sur le plan technique, organisationnel et juridique. En effet, la conformité RGPD exige une mise à jour constante des procédures et politiques internes.
Ces exigences ont notamment été renforcées avec l’introduction du principe de responsabilisation des acteurs, autrement le principe d’accountability, qui implique que tout organisme soit en mesure de démontrer sa bonne conformité à la réglementation sur les données personnelles.
Cartographier ses traitements
La cartographie des traitements, qu’est-ce que c’est ?
Une cartographie des traitements consiste à recenser de manière guidée l’ensemble des données personnelles traitées par votre organisme.
Établir une cartographie des traitements est un des points de départ essentiels pour avoir une vision globale des traitements de données personnelles en circulation au sein de l’organisme.
En effet, cela permet aux collaborateurs une meilleure accessibilité et une meilleure compréhension des données personnelles traitées ainsi que leur provenance et leur(s) éventuelle(s) destination(s).
Bonnes pratiques : que dit le RGPD ?
La cartographie des traitements est une recommandation de la CNIL pour mesurer le niveau de conformité au RGPD grâce, entre autres, aux informations insérées dans le registre des traitements.
Ainsi, elle permet de suivre la conformité dans le temps et d’alimenter le registre des activités de traitement pour permettre aux organismes d’établir des plans d’actions pour assurer cette conformité.
La cartographie des traitements doit reprendre, à minima, les informations qui doivent se trouver dans le registre des traitements telles que listées dans l’article 30 du RGPD, notamment :
- les finalités du traitement
- les catégories de données
- les catégories de personnes concernées par les données
- les catégories de destinataires des données
- les mesures de sécurité appliquées au traitement, etc…
Déterminer la finalité des traitements
Qu’est-ce que c’est ?
Déterminer la finalité de ses traitements de données personnelles est une obligation essentielle imposée par le RGPD. La finalité d’un traitement de donnée répond à la question pourquoi est-ce que mon entreprise collecte ces données ?
Ainsi, collecter les données de prospects via le formulaire d’un site internet est une action dont la finalité générale pourra être la prospection commerciale et la finalité particulière l’entrée en contact afin de vendre un bien ou un service.
En premier lieu, la finalité déclarée d’un traitement en fixe la limite. Il est en effet interdit de traiter des données pour des finalités incompatibles avec les finalités initiales. Ainsi, dans le cadre du traitement ayant pour finalité la prospection commerciale, et plus particulièrement l’entrée en contact afin de vendre un bien ou un service, les données ne pourront être traitées afin de recueillir des avis sur ledit bien ou service. Si tel est le cas, il faudra soit amender les finalités du traitement (et informer les personnes concernées) ou créer un nouveau traitement. Dans tous les cas, les personnes concernées devront être informées de cette nouvelle finalité.
En outre, les finalités des traitements mis en œuvre doivent être déclarées dans le registre des traitements et portées à la connaissance des personnes concernées.
Enfin, la durée de conservation des données dépend directement de cette finalité. En effet, il est interdit de conserver des données personnelles plus longtemps que ce qu’il est nécessaire pour atteindre la finalité déclarée. Les durées de conservation peuvent être prescrites par une réglementation ou laissées à libre appréciation du responsable de traitement.
Cas d’usage
Prenons un cas typique de violation de la finalité des traitements. Des données sont collectées afin de permettre l’inscription d’une personne à un service. La finalité de la collecte de données est donc la conclusion et l’exécution d’un contrat.
Or, ces données sont par la suite utilisées à des fins de prospection commerciale. Le responsable du traitement ne peut utiliser les données à cette fin que si, dès l’origine, il avait informé la personne d’une telle finalité.
Informer ses clients & collaborateurs
Toute personne dont les données personnelles sont traitées a le droit d’obtenir un certain nombre d’informations obligatoires du responsable du traitement concernant les modalités de traitement de ses données personnelles et les droits de cette personne sur ses données.
Dans le cadre des relations de travail, l’employeur est nécessairement un responsable du traitement des données de ses employés. Aussi bien le contrat de travail que le code du travail obligent l’employeur à traiter certaines données (registre du personnel, paye, évaluations, etc…). En dépit de cette nécessité, les salariés doivent être notamment informés des raisons pour lesquelles leurs données sont collectées et traitées.
Dans le cadre des relations avec ses clients, une entreprise sera également responsable du traitement de leurs données, ne serait-ce que les données relatives au suivi du contrat. Elle doit dès lors les informer des raisons pour lesquelles leurs données sont collectées, de la durée de leur conservation et des droits qu’ils détiennent sur leurs données.
Cas d’usage
Les relations de travail et la relation client étant deux domaines de traitement courants et primordiaux pour les entreprises (en B2C ou B2B2C pour la relation client), une pratique bien installée existe dans ces domaines en matière d’obligation d’information. Le plus souvent, une clause relative aux données personnelles sera incluse dans le contrat et/ou les conditions générales et des mentions RGPD seront insérées dans les communications, généralement avec un lien vers la politique de confidentialité.
Dans le cadre des relations de travail, le contrat de travail contiendra une clause relative au traitement de données et si nécessaire pourra renvoyer vers une notice d’information et/ou une charte informatique et/ou une charte relative aux données personnelles et à la vie privée. Il est primordial que ces documents fassent partie des règles internes de l’entreprise et qu’ils soient accessibles en permanence aux employés, par exemple via l’intranet de l’entreprise.
Conserver les données pendant une durée appropriée
Qu’est-ce que c’est ?
Qu’il s’agisse de la Loi Informatique et Libertés ou du RGPD, les 2 textes s’accordent pour limiter la conservation des données personnelles dans le temps. En effet, ils indiquent que la conservation doit être proportionnée à la finalité du traitement. Ainsi, de manière générale, les données ne doivent pas être sauvegardées au-delà de la durée nécessaire pour atteindre l’objectif pour lequel elles ont été collectées.
Il existe 3 types d’archivage des données personnelles :
- Archivage courant : l’archivage courant renvoie à la nécessité d’une conservation des données par le responsable de traitement au regard de la finalité du traitement. Cette durée peut être fixée contractuellement entre le responsable de traitement et la personne concernée.
- Archivage intermédiaire : l’archivage intermédiaire renvoie à l’hypothèse où les données peuvent être conservées plus longtemps que la durée initialement prévue contractuellement. C’est le cas, par exemple, lorsque la loi fixe une durée supérieure que celle prévue par le contrat.
- Archivage définitif : certaines données ne peuvent faire l’objet d’aucune destruction définitive. C’est notamment le cas des données d’intérêt public (historique, scientifique, statistique).
Cas d’usage
Certains textes de lois fixent une durée de conservation. En l’absence de ceux-là, le responsable de traitement est tenu de fixer une durée proportionnée au regard de l’objectif et du but poursuivi. Une fois ce délai dépassé, le responsable de traitement doit obligatoirement supprimer ou anonymiser les données personnelles des personnes concernées. Un véritable processus doit donc être mis en place au sein de l’organisme afin de garantir le respect de ces durées.
Rappelons que la durée de conservation des données personnelles débute à compter de la fin de la relation contractuelle ou au terme de la réalisation du traitement.
Exemples de durée de conservation :
- Données relatives à la gestion de la paie : 5 ans (Article L3243-4 du Code du travail)
- Données personnelles de prospect : 3 ans s’il ne répond à aucune sollicitation depuis au moins 3 ans (délibération de la CNIL n°2016-264 du 21 juillet 2016)
- Données traitées par les établissements de santé publics ou privés : 20 ans (Article R.1112-7 du Code de la santé publique)
- Les données relatives à la gestion du personnel : 5 ans (Article R.1221-26 du Code du travail)
- Les données fiscales : 6 ans (Article L102 B du Livre des procédures fiscales)
- Les contrats électroniques : 10 ans (Article L213-1 du Code de la consommation)
- Les données de vidéosurveillance : 1 mois (Article L.252-3 du Code de la Sécurité intérieure)
- Données relatives aux cookies : d’après une délibération de la CNIL (n°2020-092), les données collectées via les cookies peuvent être conservées pendant une durée maximale de 25 mois. Attention, le fait qu’un utilisateur effectue plusieurs visites sur le même site ne signifie pas que la durée de conservation peut être prorogée.
Pour aller plus loin
Rappelons tout d’abord qu’incombe au responsable de traitement une obligation de sécurité des données personnelles afin de se prémunir des risques, notamment liés aux pertes, aux défauts techniques etc. Cette obligation incombe également au sous-traitant qui agit pour le compte du responsable de traitement. Pour s’en assurer, une nouvelle clause peut être insérée dans le contrat de sous-traitance en mentionnant les obligations en matière de sécurité.
La CNIL préconise d’une part de mettre en place des dispositifs de traçabilité des consultations des données qui ont été archivées. Par ailleurs, elle préconise un mode de conservation selon l’archivage. S’il s’agit d’un archivage définitif, il est recommandé de procéder à celui-ci dans une base distincte et indépendante de celle communément utilisée et de n’autoriser l’accès qu’à un service ou une structure spécifique de l’entreprise.
S’il s’agit d’un archivage intermédiaire, le responsable de traitement peut choisir le moyen qu’il souhaite à condition qu’il ait pris les mesures techniques et organisationnelles nécessaires pour protéger les données personnelles, ainsi que de limiter l’accès de cet archivage à un service ou à une structure spécifique de l’entreprise.
Choisir une base légale
Base légale, RGPD, qu’est-ce que c’est ?
Tout traitement de données personnelles doit être fondé sur une base légale.
Contrairement à la finalité des traitements qui indique l’objectif métier du traitement, la base légale est le titre juridique, la raison qui autorise votre entreprise à traiter ces données.
Attention : les bases légales permettant d’utiliser les informations relatives à une personne étant limitativement énumérées par le RGPD, il convient d’identifier la base légale appropriée, ou de ne pas/plus traiter les données si cette base légale n’existe pas/plus. A noter qu’un traitement peut être justifié par plusieurs bases légales.
Il pourra s’agir par exemple du consentement de la personne, ou des nécessités liées à l’exécution d’un contrat.
La base légale du traitement doit être portée à la connaissance de la personne concernée, et figurer dans le registre des traitements pour prouver que les données personnelles sont traitées conformément aux dispositions du RGPD.
Cas d’usage
Votre entreprise traite des données car ce traitement est nécessaire à l’exécution d’un contrat.
À l’expiration du contrat et des durées de prescription applicables, la base légale n’existe plus, votre entreprise doit donc supprimer les données concernées. La seule façon pour vous de continuer à les traiter, à des fins marketing par exemple, serait de se fonder sur une nouvelle base légale, en demandant à la personne en question sont consentement pour tout traitement ultérieur.
Pour aller plus loin
Les bases légales énumérées par le RGPD sont les suivantes, lorsque le traitement :
- A été consenti par la personne concernée.
- Est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci.
- Est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
- Est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
- Est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
- Est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits des personnes physiques fondamentaux qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Lorsque les données personnelles sont dites « sensibles », l’article 9 du RGPD énumère les bases légales spécifiques, plus strictes, qui peuvent être choisies pour opérer le traitement de ces données sensibles.
Le recueil du consentement RGPD
Le consentement RGPD, qu’est-ce que c’est ?
L’obligation de recueillir le consentement des personnes concernées fait partie des bases légales prévues par le RGPD. Ce consentement autorise la mise en œuvre de traitements de données à caractère personnel et peut être recueilli de différentes manières (case à cocher, signature manuscrite, etc…).
Le RGPD définit le consentement des personnes concernées comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
Quels sont les changements du RGPD concernant le consentement des personnes concernées ?
Le RGPD n’a pas fondamentalement modifié la notion de consentement des personnes concernées mais plutôt consolidé sa définition en lui ajoutant des garanties parmi lesquelles :
- Le droit au retrait : possibilité pour la personne concernée de retirer son consentement lorsqu’elle le souhaite.
- La preuve du consentement : Le responsable de traitement doit être capable de démontrer à tout moment que la personne a bien consenti (article 7 § 1 du RGPD). A cet égard, la CNIL recommande au responsable de traitement de tenir un registre des consentements.
- Le consentement explicite : le consentement des personnes concernées doit être explicite, cela doit se manifester par une déclaration expresse. Cela suppose de la part du responsable de traitement la mise en œuvre de mécanismes particuliers afin de recueillir un tel consentement.
- Le consentement des mineurs : En France, un mineur de moins de 15 ans ne peut consentir au traitement de ses données personnelles et nécessite à la fois le consentement du titulaire de l’autorité parentale et le consentement de l’enfant lui-même. Cet âge varie en fonction des Etats-membres, allant de 13 à 16 ans.
Comment recueillir le consentement RGPD ?
Le RGPD impose 4 critères cumulatifs pour que la demande de consentement soit valable :
- Libre : le consentement des personnes concernées par le traitement doit être libre, autrement dit, elles sont libres d’accepter ou non le traitement les concernant. Il ne doit être ni constraint, ni influencé.
- Spécifique : le consentement ne doit concerner que la finalité à laquelle la personne est rattachée. Dans les cas où un traitement comporterait plusieurs finalités, la personne concernée doit pouvoir consentir à chacune d’entre elles.
- Éclairé : la personne concernée doit détenir certaines informations avant de consentir, informations que le responsable de traitement doit pouvoir lui fournir afin que le consentement soit éclairé (l’identité du responsable de traitement, les finalités poursuivies, les catégories de données collectées, l’existence d’un droit de retrait du consentement, le transfert ou non des données collectées vers un pays hors UE).
- Univoque : le consentement doit être clairement exprimé et dépourvu d’ambiguïté. Ne constitue pas un consentement univoque : les cases pré-cochées ; les consentements groupés (c’est-à-dire un seul consentement au lieu de plusieurs consentements distincts pour des traitements différents); l’inactivité (par exemple l’absence de réponse à un email ne vaut pas consentement).
Cas d’usage
Prenons un cas typique de consentement vicié. Une personne souscrite à un service et doit, pour ce faire, transmettre des informations personnelles. A priori, les données ne serviront qu’à la conclusion et à l’exécution du contrat de service. Or, un profilage est réalisé afin d’envoyer des informations marketing aux abonnés.
Cette finalité est déclarée dans une notice d’information que la personne a l’obligation d’accepter en cliquant sur une case « je donne mon consentement au traitement de mes données ». Aucun renvoi vers la notice d’information n’est effectué, la personne doit contacter le responsable du traitement pour l’obtenir.
Dans un tel cas, la personne n’a pas réellement consenti au traitement de ses données pour des raisons marketing, le traitement est donc illicite.
Pour aller plus loin : le cas d’un retrait de consentement
L’article 7 § 3 du RGPD prévoit le droit pour la personne concernée de retirer son consentement. Par ailleurs, la personne concernée peut à tout moment solliciter du responsable de traitement ce retrait. Ce dernier a l’obligation d’informer la personne concerner sur son droit de retrait et ce préalablement au recueil de son consentement.
Le consentement était déjà consacré par la loi Informatique et Libertés, cependant, le RGPD est venu renforcer les conditions de ce recueil. Ainsi la personne concernée dont les données sont recueillies doit pouvoir changer d’avis librement auprès du responsable de traitement.
Le consentement est-il obligatoire pour chaque traitement ?
Le RGPD consacre 6 bases légales qui autorisent le traitement de données à caractère personnel, parmi elles, le consentement. A cet égard, la licéité du traitement n’est pas seulement admise sur la base du consentement des personnes concernées, elle peut l’être sur l’exécution d’un contrat ou dans l’intérêt légitime du responsable de traitement. C’est à ce dernier de sélectionner la base légale adéquate au regard de la finalité du traitement.
Qu’en est-il de la validité du consentement recueilli avant l’entrée en vigueur du RGPD ?
Le consentement des personnes concernées recueillis avant l’entrée en application du RGPD le 25 mai 2018 est considéré comme valide dès lors qu’il répond aux exigences prévues par le RGPD. A défaut, le responsable de traitement doit s’assurer que les conditions exigées par le RGPD soient remplies pour que le consentement soit considéré comme valablement recueilli.